본 리포트는 2025년 4월 수집된 악성 모바일 애플리케이션(화보집 최연웅.apk)에 대한 RELIEFPATH의 정밀 분석 결과입니다. 정적 분석, 네트워크 트래픽 모니터링, 동적 실행 환경 및 디컴파일을 바탕으로 이루어진 분석이며, 외부 서버와의 통신 흔적과 민감 권한 사용 행위가 다수 발견되었습니다.
2. 악성앱 분석 목적
사용자 기기의 민감 데이터 접근 권한 확인
악성 코드 삽입 가능성 여부 탐지 및 구조 분석
서버 통신 흐름을 통해 외부 유출 행위 추적
3. 분석 파일 기본 정보
4. 악성 행위 분석
WRITE_CONTACTS, READ_SMS 등 민감 권한 집중 요청
http://156.251.24.209:8788 등 명시된 외부 도메인과의 통신 존재
RxUtils.TrustAllManager를 통한 SSL 우회 시도 정황 탐지
타임스탬프 조작 흔적 존재 (1981년 수정일)
5. 악성앱의 요구 권한 요약
6. 탈취 가능 코드 흐름 요약 (예시)
7. 악성앱의 특이 사항
모든 파일 타임스탬프가 1981년으로 고정되어 있어 백도어 추적 회피 의도 확인
TrustAllManager를 활용한 인증서 우회 기법 내장
서버 검사 중입니다 등 정상 서비스처럼 가장한 메시지 다수 존재
외부 접속 도메인 156.2X1.2X.2X9:8788은 국내 통신망 범위를 벗어나 있으며, 사용자 행동 데이터 수집 추정
8. 통신 시각화 자료
📎 첨부 이미지:
주요 통신 도메인: xxxdtjg.com, xxxnectivitycheck.gstatic.com
접속 IP 예시: 15X.25X.2X.2X9, 17X.19X.19X.1X8
JA3 Digest: d8c87b9b..., aa50c12a... 등
통신 포트: 8788 / 443 (비표준 및 HTTPS 암호화 기반 병행)
9. 포함된 주요 파일 종류
classes.dex 1개 (단일 구조)
XML 구성 파일 354개
PNG 및 WEBP 이미지 255개
GZ, TEXTPROTO, .PEM 등 추가 파일 존재
10. 종합 결론
이 앱은 단순한 화보앱 형태로 위장되어 있지만, 내부 코드 구성은 명백한 악성 동작 수행을 위해 최적화되어 있으며, 민감 정보 접근 권한을 통해 연락처, 문자, 저장소를 탐색합니다. 특히, 인증서 우회와 비표준 포트를 통한 외부 통신이 특징이며, 타임스탬프 조작 및 서버 확인 메시지로 사용자를 속이는 UI까지 내장하고 있습니다.
피해자는 해당 앱 설치 시 외부 유출 가능성에 대비하여 반드시 삭제 후 통신기록 확보 및 전문가 진단이 권장됩니다.
📌 법적 고지 및 저작권 안내
본 문서는 RELIEFPATH 보안 분석팀의 데이터 수집 및 분석 기반으로 작성되었으며, 일부 정보는 분석 당시 상황에 따라 달라질 수 있습니다. 수사기관의 분석 결과를 대체하지 않으며 참고용으로만 사용되어야 합니다.
본 보고서의 모든 콘텐츠는 RELIEFPATH의 자산이며, 사전 허가 없는 복제 및 사용을 금합니다. 상업적 활용이나 전재, 재편집 시 반드시 사전 동의를 받아야 합니다.
RELIEFPATH 악성앱 분석 자료 06 화보집
1. 개요
본 리포트는 2025년 4월 수집된 악성 모바일 애플리케이션(화보집 최연웅.apk)에 대한 RELIEFPATH의 정밀 분석 결과입니다. 정적 분석, 네트워크 트래픽 모니터링, 동적 실행 환경 및 디컴파일을 바탕으로 이루어진 분석이며, 외부 서버와의 통신 흔적과 민감 권한 사용 행위가 다수 발견되었습니다.
2. 악성앱 분석 목적
사용자 기기의 민감 데이터 접근 권한 확인
악성 코드 삽입 가능성 여부 탐지 및 구조 분석
서버 통신 흐름을 통해 외부 유출 행위 추적
3. 분석 파일 기본 정보
4. 악성 행위 분석
WRITE_CONTACTS, READ_SMS 등 민감 권한 집중 요청
http://156.251.24.209:8788 등 명시된 외부 도메인과의 통신 존재
RxUtils.TrustAllManager를 통한 SSL 우회 시도 정황 탐지
타임스탬프 조작 흔적 존재 (1981년 수정일)
5. 악성앱의 요구 권한 요약
6. 탈취 가능 코드 흐름 요약 (예시)
7. 악성앱의 특이 사항
모든 파일 타임스탬프가 1981년으로 고정되어 있어 백도어 추적 회피 의도 확인
TrustAllManager를 활용한 인증서 우회 기법 내장
서버 검사 중입니다 등 정상 서비스처럼 가장한 메시지 다수 존재
외부 접속 도메인 156.2X1.2X.2X9:8788은 국내 통신망 범위를 벗어나 있으며, 사용자 행동 데이터 수집 추정
8. 통신 시각화 자료
📎 첨부 이미지:
주요 통신 도메인: xxxdtjg.com, xxxnectivitycheck.gstatic.com
접속 IP 예시: 15X.25X.2X.2X9, 17X.19X.19X.1X8
JA3 Digest: d8c87b9b..., aa50c12a... 등
통신 포트: 8788 / 443 (비표준 및 HTTPS 암호화 기반 병행)
9. 포함된 주요 파일 종류
classes.dex 1개 (단일 구조)
XML 구성 파일 354개
PNG 및 WEBP 이미지 255개
GZ, TEXTPROTO, .PEM 등 추가 파일 존재
10. 종합 결론
이 앱은 단순한 화보앱 형태로 위장되어 있지만, 내부 코드 구성은 명백한 악성 동작 수행을 위해 최적화되어 있으며, 민감 정보 접근 권한을 통해 연락처, 문자, 저장소를 탐색합니다. 특히, 인증서 우회와 비표준 포트를 통한 외부 통신이 특징이며, 타임스탬프 조작 및 서버 확인 메시지로 사용자를 속이는 UI까지 내장하고 있습니다.
피해자는 해당 앱 설치 시 외부 유출 가능성에 대비하여 반드시 삭제 후 통신기록 확보 및 전문가 진단이 권장됩니다.
📌 법적 고지 및 저작권 안내
본 문서는 RELIEFPATH 보안 분석팀의 데이터 수집 및 분석 기반으로 작성되었으며, 일부 정보는 분석 당시 상황에 따라 달라질 수 있습니다. 수사기관의 분석 결과를 대체하지 않으며 참고용으로만 사용되어야 합니다.
본 보고서의 모든 콘텐츠는 RELIEFPATH의 자산이며, 사전 허가 없는 복제 및 사용을 금합니다. 상업적 활용이나 전재, 재편집 시 반드시 사전 동의를 받아야 합니다.